Honderden security-experts slaan alarm over EU-plan waarmee alle internetverkeer valt te onderscheppen
08/11
De eIDAS-Verordening bestaat sinds 2018 en regelt onder meer de rechtsgeldigheid van elektronische handtekeningen, zegels en certificaten. Een voorbeeld van dat laatste zijn de SSL- of TLS-certificaten die door webbrowers worden gecontroleerd om na te gaan of websites echt zijn.
Om de echtheid na te gaan, moet je een vertrouwde entiteit hebben die zegt welke certificaatuitgevende instanties te vertrouwen zijn. Dit ging laatst mis bij DeGiro: die hadden niet de goede certificaten en wisten niet wie die vertrouwde entiteit was – de root certificate issuer, in jargon.
Dit is een bug én feature in het systeem: iedereen moet uitzoeken wie hij vertrouwt, er is geen bindende mededeling vanuit de overheid dat Diginotar partij X altijd geloofd moet worden. En de ophef is dus ontstaan over de voorgenomen wijziging aan de eIDAS-Verordening die dat wél gaat introduceren:
Under the eIDAS regulation, each member state of the EU (as well as recognised third party countries) is able to designate Qualified Trust Service Providers (Qualified TSPs) for the distribution of Qualified Website Authentication Certificates (QWACs). Outside the EU, these TSPs and QWACs are more typically known as Certificate Authorities (CAs) and TLS Certificates, respectively. Article 45 requires browsers to recognise these certificates.
Hiermee wordt het huidige proces van controle en vertrouwen opgeheven en vervangen door een controle door de overheid. Daar hebben velen moeite mee: een kwaadwillende overheid zou een certificaat onder valse naam kunnen uitgeven, waarna browsers de verkeerde site als authentiek aanmerken en men zo gegevens kan onderscheppen.
In de open brief wordt het iets concreter uitgelegd:
Concretely, the regulation enables each EU member state (and recognised third party countries) to designate cryptographic keys for which trust is mandatory; this trust can only be withdrawn with the government’s permission (Article 45a(4)). This means any EU member state or third party country, acting alone, is capable of intercepting the web traffic of any EU citizen and there is no effective recourse. We ask that you urgently reconsider this text and make clear that Article 45 will not interfere with trust decisions around the cryptographic keys and certificates used to secure web traffic.
Voor de duidelijkheid: het gaat dus niet om aftappen bij de internetprovider of vanuit de browser afluisteren, maar om het kunnen omleiden van argeloze internetgebruikers naar malafide sites om te zien wat ze daar doen. Omdat het certificaat als authentiek wordt gezien, zijn die sites niet meer van echt te onderscheiden – sterker nog, juridisch zijn ze de echte site.
Een echte oplossing hiervoor is er nog niet. DNS CAA is op papier een tegenkracht: een website kan in haar domeinnaamgegevens noteren welke autoriteiten voor haar certificaten mag uitgeven. Een browser zou dan kunnen zeggen “dit certificaat voor blog.iusmentis.com is weliswaar vertrouwd vanwege het root certificate van de Democratische Republiek Bordurië, maar iusmentis.com zelf geeft aan dat alleen het Nederlandse SIDN dit mag zeggen”. Het is alleen niet echt in gebruik.
Morgen is de stemming over dit voorstel, en de hoop is dat men op het laatste moment toch de onzinnigheid hiervan inziet.
Arnoud
Het bericht Honderden security-experts slaan alarm over EU-plan waarmee alle internetverkeer valt te onderscheppen verscheen eerst op Ius Mentis.
Datum: woensdag 8 november 2023, 08:11
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- DeGiro mocht elektronische handtekening klant wegens foutmelding weigeren (29/08/23 08:18)
- Gemakkelijk vertrouwd én gemakkelijk vervalst (16/07/14 10:34)
- Minister Donner: overheidssites niet meer veilig (03/09/11 01:32)
- Biogas gaat de grens over (13/12/10 14:27)
- Biogas gaat de grens over (13/12/10 14:27)
Reacties:
Er zijn nog geen reacties op dit bericht.